Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q
一、概述
腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。
对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。
通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。
二、安全建议与解决方案
腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少 *** 攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对 *** 流量进行检测,及时发现内网挖矿行为。
三、样本分析
SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。
攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。
rundll.py获取本机IP地址。
针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。
使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。
漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。
1.挖矿
Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe
并运行。下载地址如下:
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到
Parameters.ini里面是配置信息:
Processlist.txt是检测运行环境是否存在监控进程:
taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
re *** on.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe
AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等:
C:\Windows\System32\SearchIndexer.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\Fonts\runhost.exe
C:\Windows\debug\winlogond.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\msdtc.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\SearchProtocolHost.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\YZebx\Xs.exe
C:\Windows\odeZP\dW.exe
C:\Windows\dwVSF\TW.exe
C:\Windows\AppDiagnostics\wininit.exe
C:\Windows\AppDiagnostics\svchost.exe
C:\Windows\SysWOW64\InstallShield\setup.exe
C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe
C:\Windows\Fonts\Mysql\svchost.exe
C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe
C:\Windows\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\Fonts\Mysql\puls.exe
C:\Windows\System32\WUDFHostex.exe
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Windows\Fonts\d1lhots.exe
C:\Windows\kkOqZ\wM.exe
C:\Windows\SysWOW64\Application.exe
C:\Windows\XIPNL\EM.exe
C:\Windows\MicrosoftUpdateLink.exe
C:\Windows\System32\dllhostex.exe
从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。
conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。
下载得到由开源挖矿程序XMRig编译而成的挖矿木马。
2.窃密
分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。
st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php
- 窃取保存在浏览器中的各类密码;
- 窃取数字加密货币钱包;
- 窃取浏览器历史记录;
- 盗取网站cookie;
- 窃取电子邮件登陆账号密码;
- 窃取Telegram、Steam密码;
- Skype密码和聊天记录;
- 获取中招机器屏幕截图;
- 执行自定义命令
3.盗取数字货币
通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。
Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。
盗取数字货币用的钱包地址如下:
通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。
IOCs
IP
116.203.240.6
178.32.53.209
185.228.83.153
Domain
klicoverof.world
handler1.soulemanifight.club
3.soulemanifight.club
2.soulemanifight.club
1.soulemanifight.club
1.blackhohol.online
2.blackhohol.online
km1.maxvarlamoff.club
km2.maxvarlamoff.club
km1.koronavirus *** .xyz
km2.koronavirus *** .xyz
km2.dancingblack.online
1.novichok.xyz
2.novichok.xy
1.soulemanivsusa.xyz
2.soulemanivsusa.xyz
soulemanivsusa.xyz
Md5
2662452d7f77c434b185040575c87932
fdae88d3a3e21ab29f0e4390f960543c
fb59c96176c1453cd2a05eadb8368026
a8f757a0a871b2aaca3535f16f0c8b66
b9ae13778f36534ddfeccf7329f4f62e
04d04cbd71f45ad36a03fd9a3a761055
1ed7e0fdd1e072cb92b8115579aac391
8c50dabe5dd305d1f6d28f5164075ff7
0f38c4b35c4f830ba14d9237bf82af56
6fa76c8b29b4da063766d2e6df001ed6
04ac52778d6871d24a5dc957a41d84fd
4cf0ff9887c3e7de5d4c0ed9674d2903
67a7c1c24de0026b9d367fc5f0048a0e
6fa76c8b29b4da063766d2e6df001ed6
8ab5c496b795f12526e7ae0bf26365fb
URL
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
http[:]//185.228.83.153/new3.exe
http[:]//3.soulemanifight.club/z.rar
http[:]//185.228.83.153/xm32.zip
http[:]//178.32.53.209/777.exe
http[:]//185.228.83.153/777.exe
C2
http[:]//soulemanivsusa.xyz/32/index.php
“Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元” 的相关文章
疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...
英国监管机构要求运营商关闭加密货币 ATM 机
在英国,购买比特币最简单、最匿名的方式之一是前往选定的商店,使用比特币自动取款机,你只需存入现金,然后将比特币发送到你的比特币钱包。英国金融行为监管局(FCA)现在正命令经营这些自动取款机的公司关闭它们,因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营,加密货币自动取款机应在FCA注册,并...
跨越多代:三星修复影响上亿 Android 设备的硬件密钥安全漏洞
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...
黑客拍卖 7000 万用户数据库后 AT&T 否认数据泄露
在一个知名黑客声称要出售一个包含7000万用户个人信息的数据库后,AT&T表示并没有遭遇数据泄露事件。这个被称为ShinyHunters的黑客昨天开始在一个黑客论坛上拍卖这个数据库,起价20万美元,递增报价3万美元。 该黑客表示,愿意立即以100万美元的价格出售。从该黑客分享的样本来看,该...
测试结果表明 Windows Defender 是 2021 年最好的反病毒软件之一
位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。 结果,Windows Defender在这次评估中获得了非...
Zscaler:伪装成电报应用程序的 FFDroider 恶意软件会窃取社交媒体账号
由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队,刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉,这款基于 Windows 平台的恶意软件,能够创建一个名为 FFDroider 的注册表项,并将窃取到的凭据和 cookie 发送到...
评论列表
发表评论
